注册

国家标准计划《信息安全技术 信息技术产品供应链安全要求》由TC260(全国信息安全标准化技术委员会)归口上报及执行,主管部门为国家标准化管理委员会。

主要起草单位 中国电子技术标准化研究院国家互联网应急中心中国网络安全审查技术与认证中心联想华为等

目录

基础信息

计划号
20192184-T-469
制修订
制订
项目周期
12个月
下达日期
2019-07-12
申报日期
2019-06-14
公示开始日期
2019-06-21
公示截止日期
2019-06-25
国际标准分类号
35.040
35 信息技术、办公机械
35.040 字符集和信息编码
归口单位
全国信息安全标准化技术委员会
执行单位
全国信息安全标准化技术委员会
主管部门
国家标准化管理委员会

起草单位

目的意义

近年来,随着信息通信技术的普及应用,供应链安全事件频发,例如2014年思科及Juniper公司网络设备安全漏洞事件;2015年,苹果产品的XcodeGhost事件,可导致信息泄露、弹窗攻击和被远程控制;2017年NetSarang公司的软件产品存在恶意代码,可导致用户远程登录的信息泄露;2019年华为事件等等。

基于目前供应链安全面临严峻的国内外形势,网络运营者急需加强供应链安全管理,使得供应链能够安全可控。

针对信息技术产品供应面临的供应链中断、维护中止等安全风险,本标准规定了IT产品在供应链方面的安全要求。

本标准可用于指导信息技术供应方和用户对信息技术产品供应链进行安全管理,为开展信息技术产品供应链安全评估,有效防范信息技术产品供应链安全风险提供保障。

范围和主要技术内容

本标准规定了信息技术产品在供应链方面的安全要求。具体包括: (1)产品供应方在产品运维、用户数据保护等方面的安全要求。 (2)产品在设计、研发、生产、运维等方面的安全要求。 本标准适用于信息技术供应方和用户对信息技术产品供应链进行安全管理,也适用于第三方测评机构对信息技术产品供应链进行安全评估。